Trong thời đại kỹ thuật số ngày nay, người dùng mạng, máy tính luôn phải đối mặt với rất nhiều mối đe dọa, tấn công. Những rủi ro nay đến từ các ứng dụng độc hại, lừa đảo, theo dõi lưu lượng truy cập không được mã hóa và thậm chí là sơ hở ở cấp quản trị viên. Đối với người dùng PC Windows 11 sẽ nhận được các bảo mật nâng cao và tránh khỏi những rủi ro khi hoạt động trên môi trường mạng.
Trong blog này, chúng ta sẽ cùng xem xét một số cải tiến bảo mật tiên tiến của Microsoft được tích hợp trực tiếp vào Windows 11.
Điều khiển ứng dụng thông minh (SAC)
Kiểm soát ứng dụng thông minh là một tính năng hoat động để ngăn chặn các mỗi đe dọa và các ứng dụng có khả năng không mong muốn ở cấp độ quy trình rất lâu trước khi chúng có thể gây ra thiệt hại cho máy tính của bạn. Nó thực hiện điều này bằng cách sử dụng một dịch vụ AI phức tạp được hỗ trợ bởi đám mây cố gắng xác định xem ứng dụng bạn đang cố gắng chạy có an toàn hay không.
Nếu dịch vụ tin rằng ứng dụng an toàn, Smart App Control (SAC) sẽ cho phép ứng dụng chạy. Nếu ứng dụng được cho là độc hại hoặc có khả năng không mong muốn xảy ra, thì SAC sẽ chặn ứng dụng đó. Nếu dịch cụ không thể đưa ra dự đoán chắc chắn về ứng dụng, thì SAC sẽ kiểm tra xem ứng dụng có chữ ký hợp lệ không.
Nhập “Smart App Control” vào hộp tìm kiếm trong Start menu để truy cập cài đặt hệ thống.
Cần lưu ý rằng hiện tại không có cách nào để bỏ qua hoặc bảo vệ danh sách trắng cho các ứng dụng riêng lẻ ngoài việc tắt tính năng này. Tắt SAC cũng là vĩnh viễn trừ khi bạn khôi phục cài đặt gốc hoặc thực hiện cài đặt sạch Windows 11.
Kiểm soát ứng dụng thông minh được kết hợp chặt chẽ vào cốt lõi của hệ điều hành. Smart App Control sẽ chỉ được bật trên bản cài đặt Windows 11 hoặc trùy chọn là phiên bản khôi phục cài đặt gốc của Windows 11 được cập nhật đầy đủ.
DNS qua HTTPS: (DoH)
Theo mặc định, các yê cầu Hệ thống miền (DNS) được gửi qua kết nối UDP hoặc TCP bản rõ. Điều này làm cho lưu lượng DNS không được mã hóa truyền thống dễ bị nghe trộm và giả mạo.
DNS qua HTTPS là một giao thức mã hóa nâng cao. Nó được thiết kế để thêm bảo vệ ở lớp truyền tải, DNS qua HTTPS bao bọc truy vấn DNS trong một yêu cầu HTTPS tiêu chuẩn và sau đó mã hóa nó.
Nói một cách đơn giản, điều này có nghĩa là các truy vấn DNS của bạn và các phản hồi tương ứng của chúng sẽ không thể phân biệt được với tất cả luwu lượng HTTPS khác trên mạng.
Windows 11 hiện trợ cấu hình DNS qua HTTPS ở cấp độ mạng.
Cách định cấu hình DNS qua HTTPS trên Windows 11
- Nhấp vào Start và tới Settings > Network & Internet
- Nhấp vào kết nối Wi-Fi hoặc Ethernet
- Nhấp vào Hardware properties
- Nhấp vào Edit on DNS server assignment
- Chuyển sang Manual trên cửa sổ bật lên Edit DNS settings.
- Bật chuyển đổi IPv4 hoặc IPv6. Lưu ý: IPv4 là tiêu chuẩn và là bắt buộc để truy cập hầu hết các trang web. IPv6 mới hơn và có thể được cấu hình tùy chọn kết hợp với IPv4.
- Nhập địa chỉ IP chính của máy chủ DNS của bạn vào trường Preferred DNS
- Nhập địa chỉ IP phụ của máy chủ DNS của bạn vào trường Alternate DNS
- Chọn On (automatic template) trong cả hai trường thả xuống DNS qua HTTPS và ấn vào Save
- Bạn sẽ thấy (Encrypted) được liệt kê bên cạnh thuộc tính máy chủ DNS IPv4 hoặc IPv6 của mình.
Khóa cấu hình PC lõi bảo mật
Một trong nhiều thách thức mà quản trị viên trong tổ chức doanh nghiệp phải đối mặt là quy trình duy trì các chính sách bảo mật trên nhiều thiết bị.
Ví dụ: người dùng có quyền truy cập quản trị cục bộ có thể thay đổi cài đặt và đặt thiết bị không đồng bộ với các chính sách bảo mật. Điều này tạo ra những gì được gọi là “configuration drift”.
Với lưu ý này, khóa cấu hình PC lõi bảo mật của Microsoft cho phép quản trị viên thực thi các chính sách bảo mật trên các thiết bị công ty PC lõi bảo mật (SCPC) của họ.
Khóa cấu hình PC lõi bảo mật hoạt động bằng cách giám sát các khóa đăng ký cụ thể liên quan đến cấu hình PC lõi bảo mật trên hệ điều hành khách. Sau đó, nếu sự sai lệch cấu hình được phát hiện do điều chỉnh sai cài đặt có chủ ý hoặc vô ý, các thay đổi sẽ được hoàn nguyên trong vài giây.
Khóa cấu hình PC core bảo mật không được bật theo mặc định trên Windows 11 hoặc được bật trong khi khởi động. Thay vào đó, nó đươc quản lý riêng bởi một quản trị viên bằng Microsoft Intune.
Tăng cường bảo vệ chống lừa đảo (Enhanced Phishing Protection)
Bảo vệ chống lừa đảo nâng cao của Microsoft hoạt động trong hệ sinh thái Microsoft Defender SmartScreen. Nó được giới thiệu trong bản cập nhật Windows 11 phiên bản 22H2,
Bảo vệ chống lừa đảo nâng cao là câu trả lời của Microsoft cho mối đe dọa ngày càng tăng của những kẻ xấu cố gắng đánh cắp dữ liệu nhạy cảm của người dùng, chẳng hạn như mật khẩu. Nó nhằm mục đích bảo vệ mật khẩu Windows 22 của tổ chức khi người dùng được nhập vào một trang web hoặc ứng dụng có khả năng không an toàn.
Tính năng này bảo vệ tính toàn vẹn mật khẩu của người dùng theo 3 cách:
- Ứng dụng và trang web độc hại: Nếu bạn nhập mật khẩu của mình vào bất kỳ trang web hoặc ứng dụng nào bị Microsoft Defender SmartScreen cho là độc hại, bạn sẽ nhận được cảnh báo cũng như lời nhắc thay đổi mật khẩu. Hiện tại tính năng này đươc giới hạn cho các trình duyệt dựa trên Chromium như Microsoft Edge, Google Chrome và Opera.
- Sử dụng lại mật khẩu: Tính năng bảo vệ chống lừa đảo nâng cao sẽ cảnh báo bạn nếu nó phát hiện thấy mật khẩu Windows 11 của bạn được sử dụng lại trên một trang web hoặc ứng dụng khác. Điều này không phân biệt liệu trang web hoặc ứng dụng được đề cập có được coi là độc hại hay không.
- Lưu trữ mật khẩu: Nếu bạn lưu trữ mật khẩu Windows 11 của mình trong Notepad, Word hoặc bất kỳ ứng dụng Microsoft 365 nào, Bảo vệ chống lừa đảo nâng cao sẽ cảnh báo bạn và khuyên bạn nên xóa mật khẩu của mình khỏi tệp.
Quản trị viên có thể dễ dàng thiết lập và định cấu hình Bảo vệ chống lừa đảo nâng cao. Nó có thể được định cấu hình trong Microsoft Intune, Đối tượng Chính sách nhóm thông qua Group Policy Editor hoặc dưới dạng Nhà cung cấp Dịch vụ Cấu hình với dịch vụ MDM.
Khi thế giới ngày càng chuyển đổi nhiều hơn sang các phương thức làm việc kết hợp, làm việc từ xa… thì điều cấp thiết nhất sẽ luôn là an ninh bảo mật. Các tổ chức, doanh nghiệp cũng như người dùng cá nhận không thể để dữ liệu nhạy cảm của họ rơi vào tay kẻ xấu. Vì vậy, Microsoft đang đẩy mạnh tính bảo mật của Windows và tận dụng công nghệ mới nhất để giữ cho người dùng an toàn.